内部控制审计实务与案例讲解.ppt

《内部控制审计实务与案例讲解.ppt》由会员分享，可在线阅读，更多相关《内部控制审计实务与案例讲解.ppt（188页珍藏版）》请在三一办公上搜索。

1、2012年7月 天津,企业内部控制审计实务与案例,主讲人简介,李杰 管理学博士（金融工程研究方向）信永中和会计师事务所合伙人注册会计师、资产评估师、税务师中国注册会计师行业领军人才天津市注册会计师协会培训委员会委员、期刊编辑委员会委员中国会计学会成本分会理事在核心期刊发表研究论文多篇，出版专著及译著数部,1,2,3,课程目标,缺陷评价与报告,审计计划与实施,审计依据与思路,目录,第一部分内部控制审计的依据,问题：内控审计的依据标准是什么？内部控制审计的性质？,2011国内内控审计情况,截至2012年4月30日，共有230家上市公司披露了内部控制审计报告。,全国有38家证劵资格会计师事务所从事了

2、230家上市公司内部控制审计业务。,中国的内控发展：主要规范,企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度,企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果,企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决,企业应当确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系,企业拥有子公司的，应当建立科学的投资管控制度重点关注发展战略、年度财务预决算、重大

3、投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设,企业应当定期对组织架构设计与运行的效率和效果进行全面评估,基本规范：处于最高层次，起统驭作用，描绘了企业建立与实施内控体系必须建立的框架结构，规定了内部控制的定义、目标、原则、要素，是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据应用指引：处于主体地位，为企业建立健全内部控制体系提供的指引评价指引：为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引：为注册会计师执行内部控制审计业务提供执业准则,企业内部控制基本规范,企业内部控制应用指引,控制活动类 1 资金活动 2 采购业务 3资产管理

4、4销售业务 5研究与开发 6工程项目 7担保业务 8业务外包 9财务报告,内部环境类1组织架构2发展战略3人力资源4社会责任5企业文化,控制手段类1全面预算2合同管理3内部信息传递4信息系统,企业内部控制评价指引,企业内部控制审计指引,企业内部控制体系,没有通用的内部控制,内部控制的各个要素在每个企业中的实施方式取决于：企业规模业务复杂性财务信息处理方法适用的法律法规小型企业业务流程总体上相对简单，相应的控制也趋于简单、非正式化文档记录形式可能多种多样，内容不尽相同，包括：政策制度手册、流程模型、流程图、岗位职责描述及其他文件。文档记录没有统一标准，而其详细程度则取决于企业规模、经营性质、及业

5、务复杂性。,从“会计兼出纳”的招聘广告所引发的讨论？,没有通用的内部控制一个探讨,一定是内控的严重缺陷吗？,预防性控制检查性控制,被审计单位与审计师的责任划分,内部控制,责任划分：内控责任与审计责任,被审计单位内控责任,CPA内控审计责任,建立健全和有效实施内部控制评价内部控制有效性是企业董事会（或类似决策机构）的责任,按照审计指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见,财务报告内部控制审计并不能减轻企业管理层的责任,适用范围,2010年4月26日，财政部发布企业内部控制审计指引等配套指引2011年1月1日起在境内外同时上市的公司施行2012年1月1日起扩大到在上海证券交

6、易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；鼓励非上市大中型企业提前执行。,执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注,实施步骤,内控审计遵循的政策制度,CPA,中注协发布：企业内部控制审计指引实施意见内部控制审计工作底稿编制指南,内部控制审计的性质、对象,内部控制审计,内部控制审计的性质、对象需要

7、明确的问题,时点/时期？内部控制审计企业内部控制审计基于特定基准日。注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况。,实务：业内一般要求内部控制的有效运行期至少为3个月，即：前期或期中测试发现的问题，需在9月底之前整改完毕。注册会计师再对整改后的内部控制进行测试，才能对企业12月31日（基准日）内部控制的设计和运行发表 意见,财务报告内部控制 or 非财务报告内部控制？注册会计师应当

8、对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露,内部控制审计的对象需要明确的问题,财务报告内部控制,政策和程序,（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；（2）合理保证按照企业会计准则的规定编制财务报表；（3）合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；（4）合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项,合理保证财务报告及相关信息真实完整保护资产安全的内部控制中与财务报告可靠性目标相关的控制,非财务报告内部

9、控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制,内部控制审计的对象（举例）,某大型企业集团2009版内控手册共计1272个控制点，分类如下：,内部控制审计的对象（举例）,例如：销售和收款循环中，以下的控制活动,第二部分 内控审计、财报审计与整合审计,问题：内控审计与大家熟悉的财报审计有什么差别？什么是整合审计？整合审计有什么优点？,整合审计的概念与目标,整合审计注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（整合审计）,整合基础 内

10、部控制,整合审计的吸引力,提高审计效率,降低成本,使客户尽早获知可能存在的缺陷及早着手进行整改,财报审计利用内控审计的结果修改实质性程序的性质、时间安排和范围支持分析程序中适用的信息的完整性和准确性,内控审计考虑财报审计中发现的问题重点考虑财报审计中发现的错报对内控有效性评价的影响,企业,CPA,整合审计的吸引力,美国萨班斯奥克斯利法案和日本金融商品交易法均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计，将企业内部控制审计定位在整合审计。美国的一项调查显示，企业执行萨班斯奥克斯利法案404条款第二年的成本比第一年下降46%，将两项审计工作更好地整合起来则是其中的一个主要

11、原因。我国企业内部控制审计指引也提倡将二者整合进行,财务报表审计与内部控制审计的比较1/3,财务报表审计与内部控制审计的比较2/3,财务报表审计与内部控制审计的比较3/3,财务报表审计与内部控制审计的比较（举例）,应收账款坏账准备背景：在国家货币政策趋于紧缩的形势下，企业可能较以前年度难于获得银行的贷款而普遍面临资金短缺的压力，如果被审计单位的应收账款余额较高且当年逾期应收账款有明显的上升时，被审计单位的坏账风险很可能高于往年。审计计划阶段：CPA需要考虑应收账款坏账风险将导致认定层次重大错报风险。在财务报表审计中，由于对应收账款坏账准备的判断较为主观，审计风险较高，通常注册会计师不拟依赖被审

12、计单位在这一领域的控制，而在审计计划阶段决定直接通过实质性方案应对这一重大错报风险。在整合审计中，在审计计划阶段注册会计师既需要关注应收账款的坏账准备这一重要账户，又需要关注被审计单位销售与收款这一重大流程中与计提应收账款坏账准备相关的内部控制，将其设定为内部控制审计的一个关键控制。如果被审计单位对于应收账款坏账准备没有制定标准的计提和批准流程，也没有定期与销售部门一起讨论应收账款的催款情况，而是在财务报表结账的时候完全由财务负责人主观判断且没有相应支持性文件，在此情况下，被审计单位很可能存在应收账款坏账准备的内部控制重大缺陷而影响被审计单位财务报告内部控制有效性的整体结论,财务报表审计与整合

13、审计的关系,重要组成部分的认定相同,财务报表审计计划与整合审计计划的比较,财报审计计划阶段所识别的风险对财报的影响重大账户、重大列报和相关认定重大业务流程业务流程中的内部控制考虑所识别的风险对内部控制的影响识别高风险控制领域确定内控审计的关注领域,第三部分 计划审计工作,签订审计业务约定书,建立审计项目组,计划审计工作所需评价的事项,针对舞弊风险的评估,设定重要性水平和多组成部分的审计策略,计划审计工作,识别重大账户、列报和相关认定,识别重大业务流程,识别与重大业务流程相关的信息系统,利用他人的工作,审计计划,计划审计工作审计业务约定书,被审计单位应当认可并理解的责任包括：按照适用的内部控制标

14、准，设计、执行和维护有效的内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报。按照适用的内控评价标准，对内控进行评价并编制内控评价报告。向注册会计师提供必要的工作条件，包括允许注册会计师接触与内控的设计、执行和维护相关的所有信息，允许注册会计师在获取审计证据时不受限制的接触其认为必要的人员。CPA与企业做好充分的沟通。,计划审计工作审计项目组构成,注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。具有性质和复杂程度类似的内部控制审计经验了解企业内部控制相关规范和指引要求了解内控审计指引、指引实施意见和中国注册会计师执业准则的相关要求拥有与

15、企业所处行业相关的知识具有职业判断能力,计划审计工作审计项目组构成（举例）,某上市医药企业审计项目组构成,与企业相关的风险评估,相关的法律法规和行业概况,内部控制最近发生变化的程度与企业沟通过的内控缺陷,确定内部控制重大缺陷相关的因素（重要性水平、风险）,对内部控制有效性的初步判断,可获取的、与内部控制有效性相关的证据的类型和范围,计划审计工作所需评价事项,组织结构、经营特征和资本结构,识别重大账户、重大列报&相关认定识别重大业务流程&相关信息系统,35,计划审计工作所需评价事项企业面临的风险,来自外部的风险宏观环境政治、经济、社会、科技、环保、法律所处的行业行业生命周期行业竞争状况,企业面对

16、的风险,来自企业内部的风险人力资源技术与研发生产/服务流程产品/服务,风险等级的划分-供参考,来源：澳大利亚公共部门风险管理指南，1996年10月第22号转引自：财务报告内部控制与风险管理，美国管理会计师协会IMA发布，2007,36,计划审计工作所需评价事项企业面临的风险,37,财务报表审计中考虑的风险,企业面临的风险,其他后果（与财务报表无直接关系）,财务报告,审计风险,影响,具有财务后果,CPA主要关注,不具有财务后果,影响,计划审计工作所需评价事项企业面临的风险,38,从企业风险到财务报表的风险-举例,计划审计工作所需评价事项企业面临的风险,计划审计工作企业面临的风险（举例1）,案例背

17、景1928年9月25日，保罗高尔文Paul Galvin和他的弟弟约瑟夫高尔文Joseph Galvin在芝加哥创建了高尔文制造公司。1947年，高尔文制造公司更名为摩托罗拉 1969年7月，摩托罗拉无线电应答器被用于阿波罗11号宇宙飞船，实现了地-月通信。1983年，全球首款商用手机“摩托罗拉DynaTAC”获FCC批准上市 1991年，摩托罗拉在德国汉诺威展出了全球第一款GSM数字手机,摩托罗拉天津芯片厂业务单位战略计划评价,计划审计工作企业面临的风险（举例）,1995年，摩托罗拉推出了全球第一款双向式寻呼机Tango1999年推出iDEN i1000plus，集数字手机、双向对讲、数字传

18、呼机、互联网浏览、电子邮件和传真等众多功能与一体，相当于今天的智能手机。1999年，全球首款触摸屏手机A6188发布。2000年，全球首部GPRS手机 2000年，全球首部支持WAP上网手机 2000年，全球首部支持JAVA手机 Timeport P108 2002年，全球首款360度旋转翻盖手机V70发布。2003年，全球首款基于linux内核发售的手机摩托罗拉A760 2004年，全球首款13.9毫米金属机身超薄翻盖手机V3发布RAZR系列曾书写过全球销量一亿台的辉煌战绩。RAZR系列最经典的第一代V3手机开创了超薄手机的浪潮，它的横空出世曾拯救摩托罗拉公司于泥沼,摩托罗拉天津芯片厂业务单

19、位战略计划评价,案例背景,计划审计工作企业面临的风险（举例）,摩托罗拉位于西青的MOS17芯片厂是曾经号称中国第一个、第一大的芯片厂，芯片厂于1995年立项。其后选址于天津西青经济开发区。由于半导体行业的周期性不景气和事业部决策层对投资的信心不足，西青厂的建设项目直到2000年8月才正式解冻，全面投资并买进安装生产设备。西青半导体厂的投资达19亿美元（使摩托罗拉在天津的总投资达到了30亿美元），其中西青芯片厂MOS17的投资为14亿美元，设计月产8英寸硅片2.5万片，主要产品供应无线通讯、汽车电子、信息家电等西青芯片第一批产品于2001年5月15日下线，良品率为82%，是一个当时在同行业来讲相

20、当不错的成绩。经过技术人员和管理层的不断努力，5个月后良品率达到98.5%。这在摩托罗拉的历史上是创纪录的。,摩托罗拉天津芯片厂业务单位战略计划评价,公司历史,计划审计工作企业面临的风险（举例）,全球半导体行业的发展呈现周期性的变化。从1980年至今，半导体市场共经历了五次景气循环，其中三次是由于全球性经济衰退造成的(1981年、1990年及2001年)，两次是由于明显产能供过于求导致的(1985年及1996年)，其中2001年全球半导体市场的营业额比2000年减少33%，跌至1520亿美元，创下历史最低记录。从我国的半导体行业来看，2001年全年我国半导体产业产销规模与2000年相比有所下降

21、。据统计，2001年我国集成电路总产量为44.12亿块，总销量为 46.44亿块，与2000年的总产量45.69亿块，总销量51.29亿块相比分别下降3.44 和9.46；2001年集成电路总销售额为98.42亿元，与2000年的101.49 亿元相比下降了3.02。,摩托罗拉天津芯片厂业务单位战略计划评价,行业分析,计划审计工作企业面临的风险（举例）,摩托罗拉天津芯片厂业务单位战略计划评价,合同及客户类型分析,公司事业部的初衷是想在海外（中国）建立一个像美国国内“一模一样”的芯片厂，生产和美国“一模一样”的产品，想利用中国的廉价劳动力、智力资源，而完全依赖于其在美国国内的订单全球行业内自19

22、98年的不景气一直延续到2004年初，全球半导体市场经历了其有史以来最漫长的寒冬。其间，摩托罗拉仅半导体事业部就关闭了其在德州、亚利桑那州的数个芯片厂，裁员达近万人半导体事业部从全局考虑，把绝大部分订单分给了美国国内的主力、成熟、仍有生产潜力和产能的芯片厂，只把极为有限的一小部分订单象征性地给了西青厂随着整个全球半导体市场于2000年底的大滑坡，彻底暴露出西青芯片厂完全依靠吃国外订单的致命弱点，从2001年底到2003年，月产量始终在500片以下，这只相当于当初设计产能的2%西青芯片厂几乎在闲置中度过了整整两年,计划审计工作企业面临的风险（举例）,从20002003年，摩托罗拉的市值重挫700

23、亿美元，随着董事会成员，华尔街投资者对其股票低迷表现日益不满，以及公司新制定的资产轻量級策略（asset-light strategy），半导体事业部由于连续亏损逐渐淡出摩托罗拉核心业务，剥离半导体事业部的呼声越来越大。根据半导体市调机构有关2003年全球前10大半导体供应商排名报告，摩托罗拉首度落居全球前10大排名以外，于是众分析师及股东不約而同地指出必须解決其负债累累的现況，股东普遍推崇尽快进行半导体事业部的IPO。,摩托罗拉天津芯片厂业务单位战略计划评价,实际控制人及关联方分析,为了其后续的独立上市，西青芯片这一没有效益的“不良资产”，被 摩托罗拉天津电子有限公司出售给中芯国际,计划审计

24、工作所需评价的事项（工作底稿示例）,医药行业上市公司,计划审计工作所需评价的事项（工作底稿示例）,计划审计工作设定重要性水平,重要性水平：可容忍错报（实际执行的重要性）：=集团财务报表整体的重要性50%70%,各个CPAs可能会有所差异,在整合审计中，应使用相同的重要性水平 中国注册会计师审计准则第1221号重要性,计划审计工作识别重大账户、列报和认定,相关认定如果某财务报表认定可能存在一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。某认定是否为相关认定，因被审计单位和账户而异,定量+定性分析,重要账户或列报如果某账户或列报可能存在一个错报，该错报单独或连同其他错

25、报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报,注册会计师在确定重要性水平之后，应当识别重要账户、列报及其相关认定,计划审计工作识别重大账户、列报和认定,判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。,财务报告,应收账款,销售流程,采购流程,资金管理,预算管理,应付账款,业务收入,财务错报风险,重要会计科目,资产管理,信息管理,关键业务流程,信息处理目标和财务报表验证目标,会计政策选择不当会计核算方法错误越权操作账实不符虚假合同或订单收入确认不当。,识别重大账户定量标准金额超过可容忍

26、误差。定性标准风险和其他因素（金额可能小于可容忍误差）：如果一个重大账户对应了多个单独的业务流程，应考虑根据不同的风险将重大账户进行分解，分别确定个重大账户。,计划审计工作识别重大账户、列报和认定,在评估会计科目的重要性时应考虑下列几个定性要素：（1）账户的规模和构成；（2）易于发生错报的程度；（3）账户或列报中反映的交易的业务量、复杂性及同质性；（4）账户或列报的性质；（5）与账户或列报相关的会计处理及报告的复杂程度；（6）账户发生损失的风险；（7）账户或列报中反映的活动引起重大或有负债的可能性；（8）账户记录中是否涉及关联方交易；（9）账户或列报的特征与前期相比发生的变化。,识别重大账户非

27、重大账户：金额达到或高于可容忍误差，但由于认为该账户只有有限的或没有重大错报风险，可以确定为非重大账户。（实务中，谨慎使用）小额账户判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。相关认定并非所有认定对重大账户而言都是相关的。无需识别非重大账户和小额账户的相关认定。可选择组合认定,计划审计工作识别重大账户、列报和认定,计划审计工作识别重大账户、列报和认定（举例）,注册会计师确定A公司的财务报表整体重要性金额为2 000万元。A公司的年度管理费用总额为1亿元。年度管理费用的核算比较简单。错误或舞弊导致管理费用发生重大错报的固有风险很低。在以前年度审计中从未发现管理费用存在

28、错报，也从未发现过相关控制缺陷。,注册会计师确定管理费用账户属于重要账户，并确定“发生”和“完整性”为该重要账户的相关认定。,判断是否为重大账户？,计划审计工作识别重大账户、列报和认定（举例）,假设A公司的固定资产总额为2700万元。固定资产的确认比较简单，以前年度发生的错报并不重大。其他情况如下：(1)以前年度未发现与固定资产相关的控制缺陷；(2)A公司的控制环境较强；(3)绝大多数的固定资产较为庞大或无法移动；(4)固定资产分布于多个组成部分；(5)由于错误或舞弊导致固定资产发生重大错报的固有风险很低；(6)固定资产的增加或减少金额并不重大；(7)固定资产没有减值迹象注册会计师确定的财务报

29、表整体重要性金额为2 000万元。,综合对定量因素(例如，固定资产余额并非显著高于财务报表整体重要性，并且固定资产的增加或减少并不重大)和定性因素(例如，固定资产没有减值迹象，以前年度采发现与固定资产相关的控制缺陷，并且A公司的控制环境较好)的分析注册会计师确定固定资产账户不属于重要账户,判断是否为重大账户？,计划审计工作识别重大账户、列报和认定（举例）,B公司是一家金融机构，拥有多家分支机构。该公司的资产总额为1000亿元，拥有定期存款500亿元，财务报表整体重要性为1亿元。从以前年度审计情况来看，对定期存款账户，未发现控制缺陷，也未作出审计调整。该账户是由大量小额明细账户构成的，注册会计师

30、认为由于舞弊或错误导致的重大错报风险为低水平。,尽管定期存款的重大错报风险为低水平，但由于该账户金额远远超过财务报表整体重要性，注册会计师仍将其确定为重要账户,判断是否为重大账户？,计划审计工作识别重大账户、列报和认定（工作底稿举例）,确定重要账户及相关认定工作底稿参考格式被审计单位名称：财务报表整体重要性：实际执行的重要性,注释：解释识别重要帐户的定性或定量依据。例如，超过财务报表整体重要性的帐户为何不是重要帐户；未达到报表整体重要性的帐户为何是重要帐户等。,计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程,计划审计工作识别重大业务流程,企业的业务流程包括生成、记录

31、、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务流程。注册会计师需要识别影响每个重大账户和列报的、与认定相关的重大业务流程，以及相关的信息系统。,计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程,如何了解潜在错报的来源(1)了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；(2)验证注册会计师识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节；(3)识别被审计单位用于应对这些错报或潜在错报的控制；(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。注

32、册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导,穿行测试了解错报的潜在来源评价控制设计的有效性确定控制是否得到执行,如何由重要账户到识别重大业务流程？（举例）,如何由重要账户到识别重大业务流程？通过 对企业的了解和以往的经验询问恰当的人员，必要时辅以观察和查询文件对记账分录分析,例如：CPA识别出某医药行业上市公司的应收账款及坏账准备账户为重大账户。要识别与应收账款以及坏账准备账户相关的重大业务流程1、对企业的了解和以往的经验：该企业的销售业务包括现销个赊销。其中，赊销产生应收账款。该企业为所有赊销客户均设定信用额度。（接下页）,如何由重要账户到识别重大业务流

33、程？（举例）,2、询问的常见问题（接上页）,3、对记账记录的分析分析应收账款和坏账准备的会计分录来识别单独的业务流程,如何由重要账户到识别重大业务流程？（举例）,4、CPA将销售流程作为重大业务流程，并进一步识别出销售流程的各子流程,计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试,执行穿行测试的情况(1)存在较高固有风险的复杂领域；(2)以前年度审计中识别出的缺陷(需要考虑缺陷的严重程度)的领域；(3)由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。首次接受委托执行内部控制审计，通常预期会对重要流程实施穿行测试(在实施穿行测试时，可

34、以利用他人的工作)。,计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试,穿行测试作用,1、确认注册会计师对下列事项的了解是否正确：交易的整个过程，包括主要输入和输出数据，以及交易如何产生并得到授权、记录、处理和报告；财务报告内部控制(包括与预防或发现舞弊相关的控制)的设计；确定业务流程是否已涵盖了所有可能存在由于错误或舞弊导致相关财务报表认定出现重大错报的环节，以此确认该业务流程的完整性；可能发生的交易类型；关联方交易的影响；使用服务机构的影响,2、识别被审计期间业务流程(包括支持该流程的计算机应用程序)发生的所有重大变化、变化的性质以及对相关账户的影响。,计

35、划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试,穿行测试作用,3、评估控制的有效性。在评估设计有效性时，可以考虑以下事项：该控制是否能够实现控制目标；控制程序的执行是否及时；所设计的控制执行的精细度和精确度；职责分配的适当性。4、确认控制是否得到执行。5、确认注册会计师需要就哪些控制的运行有效性获取证据,计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试,交易生成,授权,记录,处理和报告,对每个重要流程，选取一笔交易或事项实施穿行测试即可。如果被审计单位采用集中化的系统为多个组成部分执行重要流程，则可能不必在每个重要的组成部分选

36、取一笔交易或事项实施穿行测试穿行测试是一种评估设计有效性的有效方法,识别出的重要流程中的控制，包括针对舞弊风险的控制,穿行测试,计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试,穿行测试包括：(1)向实际执行控制的人员进行询问；(2)观察控制的执行；(3)查阅在执行控制时使用的或由于执行该控制而生成的文件；(4)将支持性文件(如销售发票、合同和提货单)与会计记录进行比较在实施穿行测试时，对于每个发生重要处理程序或控制的节点，注册会计师应当询问相关人员对既定程序和控制规定的了解，并确定相关人员是否根据其设计的原意及时执行这些处理程序或控制。,计划审计工作了解潜在

37、错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试,实务：在穿行测试中，询问的技巧？,应当使用与被审计单位人员使用的相同的文件和信息技术对业务流程实施穿行测试，并向参与该流程或控制重要方面的相关人员进行询问可能需要通过不止一次的访谈，询问执行该流程中重要程序和控制的人员考虑与相关人员会面的顺序，以适当跟踪交易过程为佐证穿行测试中各个测试节点的信息，注册会计师可以请相关人员描述其对此前和此后处理或控制活动的了解，并演示具体操作。在询问中还应提出更深入的问题，以便识别无效控制或舞弊迹象。,1)依据什么确定是否出现错误(而不是简单地问是否实施了既定程序和控制)；(2)如果发现错误怎么处理

38、；(3)曾经发现什么类型的错误；(4)发现错误的后果是什么；(5)错误是如何解决的；(6)是否曾被要求忽略或回避该流程或控制，如有这种情况，请描述具体情况，发生的原因以及如何解决的如果被询问的人员从未发现任何错误，注册会计师应当评估出现这种情况的原因是因为存在有效的预防性控制还是因为执行控制的人员缺乏必要的技能,常用的问题,计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试,实务：被审计单位的内控发生了变化时，如何穿行测试？,评估变化的性质及其对相关账户的影响，以确定是否需要同时对变化前和变化后的交易过程实施穿行测试,是否经营场所和单位本身就很重要?*,评估文件

39、记录以及测试在每个经营场所和单位的重要控制,特殊或重要风险?,对于这些单位不需进一步的行动,经营场所和单位自身，或即使与其它单位合并在一起也不重要?,针对必要的个别经营场所或业务单位的控制的测试,对这个合并组织的控制是否有文件记录的公司层面控制?,对此合并组织的公司层面的控制进行文件记录评估和测试*,评估文件记录并且测试对于特殊风险的控制,不是,计划审计工作-多组成部分的审计策略,不是,不是,不是,是,是,是,是,-仅供参考,-仅供参考,计划审计工作-多组成部分的审计策略,计划审计工作-多组成部分的审计策略（举例1）,ABC汽车集团公司成立于2003年，主要从事汽车生产和销售业务。201年度A

40、Bc汽车集团公司未经审计的集团合并营业收入为44215000元，合并净利润为11 750 000元。集团项目组将集团财务报表整体的重要性确定为587500元，并基于集团财务报表层面识别了重要账户、列报及其相关认定，确定营业收入、固定资产等为重要账户,计划审计工作-多组成部分的审计策略（举例1）,集团项目对组成部分的分析,计划审计工作-多组成部分的审计策略（举例1）,计划审计工作-多组成部分的审计策略（举例1）,计划审计工作-利用他人的工作,注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员，内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册

41、会计师执行的工作。”相关要求：对其专业胜任能力进行充分评价对其客观性进行充分评价,计划审计工作-利用他人的工作,与控制相关的风险和利用他人工作范围的关系,计划审计工作-利用他人的工作内审,在审计的不同方面是否能够利用内部审计人员的工作示例,计划审计工作-利用他人的工作,在审计的不同方面是否能够利用内部审计人员的工作示例,计划审计工作-利用他人的工作内审,在审计的不同方面是否能够利用内部审计人员的工作示例,计划审计工作-利用他人的工作内审,在审计的不同方面是否能够利用内部审计人员的工作示例,计划审计工作-利用他人的工作管理层内控自评,管理层内部控制评价与注册会计师内部控制审计之间的关系管理层自我

42、评价过程的质量，尤其是执行自我评价工作的人员的专业胜任能力和客观性，对注册会计师确定能够在多大程度上利用他人的工作以及注册会计师需要执行的工作起着重要的作用。注册会计师执行的财务报告内部控制审计工作与管理层内部控制评价工作相互配合显得非常重要。建立健全有效的内部控制是被审计单位的责任注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻,计划审计工作-利用他人的工作管理层内控自评,管理层对内部控制有效性的自我评价工作需要在注册会计师开始内部控制审计工作之前启动，且最好保证内部控制设计缺陷以及内部控制运行缺陷尽早整改完毕，以预留足

43、够长的平稳运行期。注册会计师在每个年度的较早时期就要同管理层就内部控制自我评价工作进行沟通，包括自我评价工作的进度安排、具体自我评价的工作范围、工作方法、样本选取的方法及数量，并获取必要的管理层自我评价文档。上述步骤及文档的获取主要帮助注册会计师确定其进行内部控制审计的时间安排，以及注册会计师在多大程度上可以利用被审计单位的内部控制评价工作。如果管理层就内部控制自我评价工作定期召开会议，注册会计师可以要求参加会议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题,计划审计工作,与企业召开审计计划会议阅读企业相关财务、内控资料了解企业最新情况借鉴以前年度审计经验,审计计划,获取内部控制审

44、计计划所需信息,第四部分风险导向审计&自上而下的审计方法,内部控制审计的方向？,是从风险到控制？还是从控制到风险？,内控审计方向？,自上而下的方法,在财务报告内控审计中，自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始。然后，注册会计师将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后，注册会计师验证其了解到的业务流程中存在的风险，并就已评估的每个相关认定的错报风险，选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中

45、，自上而下的方法始于企业层面控制，并将审计测试工作逐步下移到业务层面控制。自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程，但并不一定是注册会计师执行审计程序的顺序。,从财务报表层次初步了解内控整体风险,评估企业层面控制,识别重要账户、列报及其相关认定,了解错报的可能来源,选择拟测试的控制并测试,自上而下方法 总体思路,自上而下的方法,自上而下的方法,从财务报表层次初步了解内控整体风险,评估企业层面控制,识别重要账户、列报及其相关认定,了解错报的可能来源,选择拟测试的控制并测试,自上而下方法 总体思路,自上而下的方法评估企业层面的控制,评估企业层面控制,企业内部控制,企

46、业层面控制,业务流程、应用系统或交易层面的控制,主要针对交易的生成、记录、处理和报告等环节能够对应到具体某类交易和账户余额的具体认定,应对企业财务报表整体层面的风险而设计或，作为其他控制运行的“基础设施”,评估企业层面控制要素,以“内部控制环境内部审计”为例,评估企业层面控制要素,企业层面风险控制矩阵（工作底稿记录）,关注要点（举例）,企业层面内部控制的不同精准层次,不同精准层次企业层面内部控制（示例）,人力资源部门没有获取有关雇员资格相关的证据,对及时防止或发现错报有重要但间接影响的控制,企业的财务总监定期审阅经营收入的详细月度分析报告,企业设立了银行余额调节表的监督审阅流程，并对下属所有分

47、级机构作出定期检查，精准度足以复核各个下属单位的工作是否恰当,设计在精准层次，本身可以及时地防止或发现错报的控制,监督其他控制有效性的控制,这种情况可能导致注册会计师需要获得更多证据以证明由相关人员执行的其他控制获得了恰当执行，尤其是针对那些由新雇员执行的控制,如控制有效，可能可以使注册会计师修改其原本拟对其他控制所进行的测试程序,可以考虑测试这个企业层面的控制，并且不必对下属每个单位的银行余额调节表相关控制进行测试,不同精准层次企业层面内部控制如何分析精准度？,如果一项企业层面控制足以应对评估的重大错报风险，CPA可能不必测试与该风险相关的其他控制。CPA可以分析某个控制是否有足够的精确度以

48、及时防止或发现财务报表重大错报，并考虑以下因素：(1)内部控制对应的重要账户及列报的性质；(2)对于某些比较稳定或具备预期内在关系的账户，管理层实施的分析对发现重大错报具有足够的精确度；(3)管理层分析的细化程度。一个更精确的企业层面控制会对账户按照产品、地区作更细化的分析，并与其他资料进行比较分析，以确定财务报表相关认定的准确性,不同精准层次企业层面内部控制如何分析精准度？（举例）,案例描述甲公司是生产交通运输工具用的替代燃料产品和系统的企业。所有工厂雇员人数大致相同，每周工作六天，每天两班次。财务总监在公司已有10年，非常了解业务流程，包括工资流程。他审查由会计集中核算部门编制的每周工资汇

49、总报告。由于公司扁平的组织结构和较小的规模，加上财务总监在企业的工作背景、对企业业务淡旺季、生产周期和工作流程十分了解，熟悉预算和报告流程，财务总监能迅速识别工资不当的信号及其内在的原因，如与某个项目、加班、聘用或临时解聘等情况相关。必要时，财务总监将展开调查以确定是否出现错报或者内部控制运行无效，并采取整改措施。根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审计程序，注册会计师发现，该财务总监展示出诚信的品质，并致力于有效的内部控制。,不同精准层次企业层面内部控制如何分析精准度？（举例）,CPA的工作判断注册会计师评价财务总监审查的有效性，包括其精准度。询问财务总监的审查过程，并

50、且获取了审查的其他证据。财务总监调查确定的临界值(超过该金额的差异作为重大差异进行调查)，足以发现导致财务报表重大错报的错报。选择一些财务总监标记的、偏离预期值的重大差异，并确定财务总监是否已恰当调查了差异，以确定这些差异是否由错报导致。注册会计师认为，鉴于财务总监进行审查的方式旨在发现错报，审查工作可以发现工资处理的错报。但是，注册会计师认为该项控制需要依赖企业人力资源系统生成的报告，只有当对这些报告的完整性和准确性的控制有效时，财务总监的审查才能有效在测试了相关计算机控制以后，注册会计师认为财务总监的审查结合针对工资汇总报告的相关控制，能够实现上述工资处理方面的控制目标,从财务报表层次初步